Best practice per l'utilizzo dei tag di criteri in BigQuery
Questa pagina descrive le best practice per l'utilizzo dei tag di criteri in BigQuery. Utilizza i tag criterio per definire l'accesso ai dati quando utilizzi il controllo dell'accesso a livello di colonna o il mascheramento dinamico dei dati.
Per scoprire come impostare i tag di criteri in una colonna, consulta Impostare un tag di criteri in una colonna.
Creare una gerarchia di classi di dati
Crea una gerarchia di classi di dati che abbia senso per la tua attività.
Innanzitutto, valuta i tipi di dati elaborati dall'organizzazione. In genere, un'organizzazione gestisce un numero ridotto di classi di dati. Ad esempio, un'organizzazione potrebbe avere classi di dati come:
- Dati PII
- Dati finanziari
- Cronologia ordini del cliente
Una singola classe di dati può essere applicata a più colonne di dati utilizzando un tag delle norme. Ti consigliamo di sfruttare questo livello di astrazione per gestire in modo efficiente molte colonne con pochi tag di criteri.
In secondo luogo, valuta se esistono gruppi di persone che hanno bisogno di diversi livelli di accesso a classi di dati diverse. Ad esempio, un gruppo deve accedere a dati sensibili per l'attività, come le entrate e la cronologia dei clienti. Un altro gruppo deve accedere a dati che consentono l'identificazione personale (PII), come numeri di telefono e indirizzi.
Tieni presente che puoi raggruppare i tag delle norme in un albero. A volte è utile creare un tag criterio principale che contenga tutti gli altri tag criterio.
La figura seguente mostra un esempio di tassonomia. Questa gerarchia raggruppa tutti i tipi di dati in tre tag di criteri di primo livello: Alto, Medio e Basso.
Ciascuno dei tag di criteri di primo livello contiene tag di criteri di primo livello. Ad esempio, il tag delle norme Alto contiene i tag delle norme Carta di credito, Documento di identità ufficiale e Biometrico. Analogamente, i valori Medio e Basso hanno tag di criteri basali.
Questa struttura presenta diversi vantaggi:
Puoi concedere l'accesso a un intero gruppo di tag delle norme contemporaneamente. Ad esempio, puoi concedere il ruolo Lettore granulare Data Catalog nel livello Low.
Puoi spostare i tag delle norme da un livello all'altro. Ad esempio, puoi spostare Indirizzo dal livello Basso al livello Medio per limitare ulteriormente il suo accesso, senza dover riclassificare tutte le colonne Indirizzo.
Con questo accesso granulare, puoi gestire l'accesso a molte colonne controllando solo un numero limitato di tag dei criteri di classificazione dei dati.
Per ulteriori informazioni sui tag di criteri in BigQuery, consulta:
- Introduzione al controllo dell'accesso a livello di colonna
- Limitare l'accesso con il controllo dell'accesso a livello di colonna
- Introduzione al mascheramento dei dati dinamici
- Nascondere i dati delle colonne in base al ruolo utente